2019年2月,微步在線正式宣布,旗下產品Web攻擊感知平臺Threat Detection Platform for Server(TDPS)推出2.0版本。經過數年的迭代升級,TDPS已經具有準確預警、溯源分析、資產梳理等多項成熟能力,實現攻擊行為準確感知、攻擊過程完整追溯、攻擊成功精準告警、企業(yè)實際暴露資產梳理等典型安全需求,目前已有金融、能源、互聯網、政務云等行業(yè)客戶。

用好威脅情報,化繁為簡、聚焦真正威脅

“網絡中只有兩種企業(yè),一種知道自己被黑了,另一種不知道?！边@已經成為企業(yè)安全人員的共識,要有效應對網絡威脅,首先要承認敵在暗我在明,想對企業(yè)發(fā)起攻擊的攻擊者們不計其數。既然無法防止攻擊的發(fā)生,就只能在攻擊發(fā)生后盡快察覺并阻斷。

真實的攻擊是綜合攻擊手法的疊加,橫跨各個應用層面,但80%是來自于Web層面的。解決這80%來自Web的攻擊,將會解決企業(yè)日常安全運營中主要的威脅。而就威脅情報的角度來看,威脅情報在IP和攻擊情報能力上的邊界,又將在很大程度上影響攻擊感知能力的邊界。這是Web攻擊感知平臺的立足點。Web攻擊感知平臺以情報驅動,以攻擊感知為核心,企業(yè)安全人員只需要投入精力去關注首頁的兩個指標:攻擊成功、針對性攻擊。

攻擊成功是指給主機、網絡和業(yè)務造成實質性的損害,或已經控制或拿到數據。而針對性攻擊指標意味著這些攻擊者并不是在廣撒網,而是瞄準了這家公司,即使對方沒有攻擊成功,安全人員也需要關注對方的活動和行為。一旦攻擊成功威脅性可能更高。

微步在線將攻擊成功和針對性攻擊作為核心指標,能大大減輕數據噪聲,從而為企業(yè)安全人員節(jié)省工作時間。如果安全產品以告警為核心,那么安全人員將被每日數萬乃至數十萬的告警淹沒,不得不在大量的誤報中尋找真正有威脅的告警,而安全人員每日能夠處理的威脅大概在3-5起左右。Web攻擊感知平臺不僅能讓安全人員只關注真實存在風險的告警,還能夠智能聚合攻擊源,將多個告警匯總成為一次攻擊事件,從而將該次攻擊事件的時間線梳理出來,并將相關日志都提取出來呈現給安全人員。

梳理客戶資產,給客戶安全感

微步在線的核心創(chuàng)始團隊基本來自于企業(yè)安全團隊,因此Web攻擊感知平臺在設計階段就致力于為客戶提供知己知彼的能力。

能夠妥善處理攻擊,靠的是威脅情報的一雙“慧眼”,分辨出來者是黑是白,這正是“知彼”,而當企業(yè)無法探知網絡世界中來自外部的威脅時,企業(yè)還可以將自身潛在的風險點梳理清楚,從風險點來反推自己可能會遭到哪些攻擊,這是“知己”。

因此,Web攻擊感知平臺單獨劃分出一個資產梳理模塊,針對企業(yè)對外開放的端口、后臺、IP和域名進行盤點掃描,自動發(fā)現企業(yè)有哪些潛在的風險點。一般情況下,資產盤點都需要大量的掃描網絡,費時費力,而且如果服務器本身已經負載過大,很容易引起宕機。Web攻擊感知平臺通過旁路檢測雙向流量,能夠自動識別對外開放的端口和后臺,不消耗資源,也不會給服務器帶來很大負擔。

資產盤點的一個好處是,當一個網絡威脅發(fā)生后,安全人員能夠快速根據端口、服務、應用的開放情況來推定此次網絡威脅對企業(yè)安全的影響,并且有的放矢地進行處置,此外,在Web攻擊感知平臺中,還能通過盤點對外后臺來識別撞庫行為。

如果用戶是高手?

Web攻擊感知平臺不僅能夠減輕用戶的工作量,還為用戶保留了一個“自由模式”,如果用戶是一位安全高手,不滿足于產品內的算法模型,想自主溯源一些威脅時,要怎么操作?

微步在線的Web攻擊感知平臺會存儲企業(yè)全流量,并設計了一個“調查”模塊,專門用于溯源日志,其中按照攻擊相關、敏感行為、協議相關等字段進行了分類,支持用戶對日志進行靈活的條件式搜索,還可以連接到微步在線旗下的威脅情報搜索引擎,進一步對可疑IP進行溯源分析。

此外,Web攻擊感知平臺還能和態(tài)勢感知、WAF等安全防護系統結合,讓企業(yè)用戶能夠縱深向、多維度感知到安全態(tài)勢,做好檢測和響應工作。

關于微步在線:

微步在線成立于2015年,是國內專注于提供威脅情報能力輸出的安全創(chuàng)新型企業(yè),已成為國內威脅情報領軍品牌,提供專業(yè)的威脅檢測產品與服務。2017-2018年多次入選全球網絡安全500強(CyberSecurity 500),并成為唯一入選Gartner全球威脅情報市場指南的中國公司。

songjy